1.引入Shiro的Maven依赖

[html] view
plain copy

  1. <!-- Spring 整合Shiro需要的依赖 -->
  2. <dependency>
  3. <groupId>org.apache.shiro</groupId>
  4. <artifactId>shiro-core</artifactId>
  5. <version>1.2.1</version>
  6. </dependency>
  7. <dependency>
  8. <groupId>org.apache.shiro</groupId>
  9. <artifactId>shiro-web</artifactId>
  10. <version>1.2.1</version>
  11. </dependency>
  12. <dependency>
  13. <groupId>org.apache.shiro</groupId>
  14. <artifactId>shiro-ehcache</artifactId>
  15. <version>1.2.1</version>
  16. </dependency>
  17. <dependency>
  18. <groupId>org.apache.shiro</groupId>
  19. <artifactId>shiro-spring</artifactId>
  20. <version>1.2.1</version>
  21. </dependency>
  22. <!-- 除此之外还有一些东西也不可少spring, spring-mvc, ibatis等 spring.3.1.2 spring-mvc.3.1.2
  23. ibatis.2.3.4 cglib.2.2 -->

2.web.xml中配置

[html] view
plain copy

  1. <!-- 配置shiro的核心拦截器 -->
  2. <filter>
  3. <filter-name>shiroFilter</filter-name>
  4. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  5. </filter>
  6. <filter-mapping>
  7. <filter-name>shiroFilter</filter-name>
  8. <url-pattern>/*</url-pattern>
  9. </filter-mapping>

3.    编写自己的UserRealm类继承自Realm,主要实现认证和授权的管理操作

[java] view
plain copy

  1. package com.jay.demo.shiro;
  2. import java.util.HashSet;
  3. import java.util.Iterator;
  4. import java.util.Set;
  5. import org.apache.shiro.authc.AuthenticationException;
  6. import org.apache.shiro.authc.AuthenticationInfo;
  7. import org.apache.shiro.authc.AuthenticationToken;
  8. import org.apache.shiro.authc.LockedAccountException;
  9. import org.apache.shiro.authc.SimpleAuthenticationInfo;
  10. import org.apache.shiro.authc.UnknownAccountException;
  11. import org.apache.shiro.authz.AuthorizationInfo;
  12. import org.apache.shiro.authz.SimpleAuthorizationInfo;
  13. import org.apache.shiro.realm.AuthorizingRealm;
  14. import org.apache.shiro.subject.PrincipalCollection;
  15. import org.springframework.beans.factory.annotation.Autowired;
  16. import com.jay.demo.bean.Permission;
  17. import com.jay.demo.bean.Role;
  18. import com.jay.demo.bean.User;
  19. import com.jay.demo.service.UserService;
  20. public class UserRealm extends AuthorizingRealm{
  21. @Autowired
  22. private UserService userService;
  23. /**
  24. * 授权操作
  25. */
  26. @Override
  27. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  28. //      String username = (String) getAvailablePrincipal(principals);
  29. String username = (String) principals.getPrimaryPrincipal();
  30. Set<Role> roleSet =  userService.findUserByUsername(username).getRoleSet();
  31. //角色名的集合
  32. Set<String> roles = new HashSet<String>();
  33. //权限名的集合
  34. Set<String> permissions = new HashSet<String>();
  35. Iterator<Role> it = roleSet.iterator();
  36. while(it.hasNext()){
  37. roles.add(it.next().getName());
  38. for(Permission per:it.next().getPermissionSet()){
  39. permissions.add(per.getName());
  40. }
  41. }
  42. SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
  43. authorizationInfo.addRoles(roles);
  44. authorizationInfo.addStringPermissions(permissions);
  45. return authorizationInfo;
  46. }
  47. /**
  48. * 身份验证操作
  49. */
  50. @Override
  51. protected AuthenticationInfo doGetAuthenticationInfo(
  52. AuthenticationToken token) throws AuthenticationException {
  53. String username = (String) token.getPrincipal();
  54. User user = userService.findUserByUsername(username);
  55. if(user==null){
  56. //木有找到用户
  57. throw new UnknownAccountException("没有找到该账号");
  58. }
  59. /* if(Boolean.TRUE.equals(user.getLocked())) {
  60. throw new LockedAccountException(); //帐号锁定
  61. } */
  62. /**
  63. * 交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以在此判断或自定义实现
  64. */
  65. SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(),getName());
  66. return info;
  67. }
  68. @Override
  69. public String getName() {
  70. return getClass().getName();
  71. }
  72. }

4.在Spring的applicationContext.xml中进行Shiro的相关配置

1、添加shiroFilter定义

Xml代码  
  1. <!-- Shiro Filter -->
  2. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  3. <property name="securityManager" ref="securityManager" />
  4. <property name="loginUrl" value="/login" />
  5. <property name="successUrl" value="/user/list" />
  6. <property name="unauthorizedUrl" value="/login" />
  7. <property name="filterChainDefinitions">
  8. <value>
  9. /login = anon
  10. /user/** = authc
  11. /role/edit/* = perms[role:edit]
  12. /role/save = perms[role:edit]
  13. /role/list = perms[role:view]
  14. /** = authc
  15. </value>
  16. </property>
  17. </bean>

2、添加securityManager定义

Xml代码  
  1. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
  2. <property name="realm" ref="myRealm" />
  3. </bean>

3、添加realm定义

Xml代码  
  1. <bean id=" myRealm" class="com.jay.demo.shiro.UserRealm/>

4、配置EhCache

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" />

5、保证实现了Shiro内部lifecycle函数的bean执行

<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><bean id=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"lifecycleBeanPostProcessor"</span> class=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"org.apache.shiro.spring.LifecycleBeanPostProcessor"</span>/></span>

特别注意:

如果使用Shiro相关的注解,需要在springmvc-servlet.xml中配置一下信息

<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><bean class=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"</span> depends-on=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"lifecycleBeanPostProcessor"</span>/></span>

<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><bean class=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"</span>></span>

    <span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><property name=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"securityManager"</span> ref=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"securityManager"</span>/></span>

<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"></bean></span>

备注:Shiro权限管理的过滤器解释:

[java] view
plain copy

  1. 默认过滤器(10个)
  2. anon -- org.apache.shiro.web.filter.authc.AnonymousFilter
  3. authc -- org.apache.shiro.web.filter.authc.FormAuthenticationFilter
  4. authcBasic -- org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
  5. perms -- org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
  6. port -- org.apache.shiro.web.filter.authz.PortFilter
  7. rest -- org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
  8. roles -- org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
  9. ssl -- org.apache.shiro.web.filter.authz.SslFilter
  10. user -- org.apache.shiro.web.filter.authc.UserFilter
  11. logout -- org.apache.shiro.web.filter.authc.LogoutFilter
  12. anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
  13. authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
  14. roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
  15. perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
  16. rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
  17. port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
  18. authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
  19. ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
  20. user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

关于Shiro的标签应用:

[java] view
plain copy

  1. <shiro:authenticated> 登录之后
  2. <shiro:notAuthenticated> 不在登录状态时
  3. <shiro:guest> 用户在没有RememberMe时
  4. <shiro:user> 用户在RememberMe时
  5. <shiro:hasAnyRoles name="abc,123" > 在有abc或者123角色时
  6. <shiro:hasRole name="abc"> 拥有角色abc
  7. <shiro:lacksRole name="abc"> 没有角色abc
  8. <shiro:hasPermission name="abc"> 拥有权限abc
  9. <shiro:lacksPermission name="abc"> 没有权限abc
  10. <shiro:principal> 显示用户登录名

以上是Shiro的相关配置,出于安全的考虑,一般都会使用ACL(基于角色的用户权限管理去控制用户登录后的权限)

ACL详细代码案例如下:

涉及到的表:3+2(User,Role,Permission  +  user-role,role-permission)

3张实体表+2张关系表

1.关于User类:

[java] view
plain copy

  1. package com.jay.demo.bean;
  2. import java.util.HashSet;
  3. import java.util.Set;
  4. public class User {
  5. private String id;
  6. private String username;
  7. private String password;
  8. private Set<Role> roleSet = new HashSet<Role>();
  9. public User() {
  10. }
  11. public String getId() {
  12. return id;
  13. }
  14. public void setId(String id) {
  15. this.id = id;
  16. }
  17. public String getUsername() {
  18. return username;
  19. }
  20. public void setUsername(String username) {
  21. this.username = username;
  22. }
  23. public String getPassword() {
  24. return password;
  25. }
  26. public void setPassword(String password) {
  27. this.password = password;
  28. }
  29. public Set<Role> getRoleSet() {
  30. return roleSet;
  31. }
  32. public void setRoleSet(Set<Role> roleSet) {
  33. this.roleSet = roleSet;
  34. }
  35. }

2.关于Role表

[java] view
plain copy

  1. package com.jay.demo.bean;
  2. import java.io.Serializable;
  3. import java.util.HashSet;
  4. import java.util.Set;
  5. public class Role implements Serializable {
  6. private static final long serialVersionUID = -4987248128309954399L;
  7. private Integer id;
  8. private String name;
  9. private Set<Permission> permissionSet = new HashSet<Permission>();
  10. public Role() {
  11. super();
  12. }
  13. // --------------------------------------------------------------------------------
  14. @Override
  15. public int hashCode() {
  16. final int prime = 31;
  17. int result = 1;
  18. result = prime * result + ((id == null) ? 0 : id.hashCode());
  19. return result;
  20. }
  21. @Override
  22. public boolean equals(Object obj) {
  23. if (this == obj)
  24. return true;
  25. if (obj == null)
  26. return false;
  27. if (getClass() != obj.getClass())
  28. return false;
  29. Role other = (Role) obj;
  30. if (id == null) {
  31. if (other.id != null)
  32. return false;
  33. } else if (!id.equals(other.id))
  34. return false;
  35. return true;
  36. }
  37. // --------------------------------------------------------------------------------
  38. public Integer getId() {
  39. return id;
  40. }
  41. public void setId(Integer id) {
  42. this.id = id;
  43. }
  44. public String getName() {
  45. return name;
  46. }
  47. public void setName(String name) {
  48. this.name = name;
  49. }
  50. public Set<Permission> getPermissionSet() {
  51. return permissionSet;
  52. }
  53. public void setPermissionSet(Set<Permission> permissionSet) {
  54. this.permissionSet = permissionSet;
  55. }
  56. }

3.关于permission表

[java] view
plain copy

  1. <pre name="code" class="java">package com.jay.demo.bean;
  2. import java.io.Serializable;
  3. public class Permission implements Serializable {
  4. private static final long serialVersionUID = -8025597823572680802L;
  5. private Integer id;
  6. private String name;
  7. public Permission() {
  8. super();
  9. }
  10. // --------------------------------------------------------------------------------------
  11. @Override
  12. public int hashCode() {
  13. final int prime = 31;
  14. int result = 1;
  15. result = prime * result + ((id == null) ? 0 : id.hashCode());
  16. return result;
  17. }
  18. @Override
  19. public boolean equals(Object obj) {
  20. if (this == obj)
  21. return true;
  22. if (obj == null)
  23. return false;
  24. if (getClass() != obj.getClass())
  25. return false;
  26. Permission other = (Permission) obj;
  27. if (id == null) {
  28. if (other.id != null)
  29. return false;
  30. } else if (!id.equals(other.id))
  31. return false;
  32. return true;
  33. }
  34. // --------------------------------------------------------------------------------------
  35. public Integer getId() {
  36. return id;
  37. }
  38. public void setId(Integer id) {
  39. this.id = id;
  40. }
  41. public String getName() {
  42. return name;
  43. }
  44. public void setName(String name) {
  45. this.name = name;
  46. }
  47. }


4.dao层接口







[java] view

 plain copy










  1. package com.jay.demo.dao;
    2. 

  2. import com.jay.demo.bean.User;
    3. 

  3. public interface UserDao {
    4. 

  4. User findUserByUsername(String username);
    5. 

  5. }





4.使用Mybatis完成的Dao层实现







[html] view

 plain copy










  1. <?xml version="1.0" encoding="UTF-8" ?>
    2. 

  2. <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
    3. 

  3. <mapper namespace="com.jay.demo.dao.UserDao">
    4. 

  4. <resultMap id="userMap" type="com.jay.demo.bean.User">
    5. 

  5. <id property="id" column="USER_ID"/>
    6. 

  6. <result property="username" column="USER_USERNAME"/>
    7. 

  7. <result property="password" column="USER_PASSWORD"/>
    8. 

  8. <!-- 进行 多表关联插叙,先关联user和role -->
    9. 

  9. <collection property="roleSet" column="roleid" ofType="com.jay.demo.bean.Role">
    10. 

  10. <id property="id" column="ROLE_ID"/>
    11. 

  11. <result property="name" column="ROLE_NAME"/>
    12. 

  12. <!-- 再在role中关联role和permission -->
    13. 

  13. <collection property="permissionSet" column="permissionid" ofType="com.jay.demo.bean.Permission">
    14. 

  14. <id property="id" column="permission_id"/>
    15. 

  15. <result property="name" column="permission_name"/>
    16. 

  16. </collection>
    17. 

  17. </collection>
    18. 

  18. </resultMap>
    19. 

  19. <!--  通过User来查找Role   -->
    20. 

  20. <!-- <select id="selectRoleByUser" parameterType="int" resultMap="RoleMap">
    21. 

  21. select * from tbl_role_user user_id  = #{id}
    22. 

  22. </select>
    23. 

  23. <resultMap  id="roleMap" type="com.jay.demo.bean.User">
    24. 

  24. <result property="id" column="ROLE_ID" />
    25. 

  25. <result property="name" column="ROLE_NAME" />
    26. 

  26. </resultMap>
    27. 

  27. <resultMap id="permissionMap" type="com.jay.demo.bean.Permission">
    28. 

  28. <result property="id" column="PERMISSION_ID" />
    29. 

  29. <result property="name" column="PERMISSION_NAME" />
    30. 

  30. </resultMap> -->
    31. 

  31. <sql id="select-base-01">
    32. 

  32. SELECT
    33. 

  33. u.USER_ID,
    34. 

  34. u.USER_USERNAME,
    35. 

  35. u.USER_PASSWORD,
    36. 

  36. r.ROLE_ID,
    37. 

  37. r.ROLE_NAME,
    38. 

  38. p.PERMISSION_ID,
    39. 

  39. p.PERMISSION_NAME
    40. 

  40. FROM
    41. 

  41. tbl_user as u,
    42. 

  42. tbl_role as r,
    43. 

  43. tbl_permission as p,
    44. 

  44. tbl_permission_role as pr,
    45. 

  45. tbl_role_user as ru
    46. 

  46. WHERE
    47. 

  47. u.USER_ID = ru.USER_ID
    48. 

  48. AND
    49. 

  49. r.ROLE_ID = ru.ROLE_ID
    50. 

  50. AND
    51. 

  51. p.PERMISSION_ID = pr.PERMISSION_ID
    52. 

  52. AND
    53. 

  53. r.ROLE_ID = pr.ROLE_ID
    54. 

  54. </sql>
    55. 

  55. <select id="findUserByUsername" parameterType="string" resultMap="userMap">
    56. 

  56. <include refid="select-base-01" />
    57. 

  57. AND
    58. 

  58. u.USER_USERNAME = #{username}
    59. 

  59. <!-- select * from tbl_user u, tbl_role r, tbl_role_user tu
    60. 

  60. where u.user_id = tu.user_id and r.role_id = tu.role_id
    61. 

  61. and user_username=#{username} -->
    62. 

  62. </select>
    63. 

  63. </mapper>


												


											
Shiro学习总结(10)——Spring集成Shiro的更多相关文章
	

    
						
  1. Spring集成shiro做登陆认证
		
    一.背景 其实很早的时候,就在项目中有使用到shiro做登陆认证,直到今天才又想起来这茬,自己抽空搭了一个spring+springmvc+mybatis和shiro进行集成的种子项目,当然里面还有很 ...
    
		
    2. 
						
  2. spring集成shiro报错解决(no bean named 'shiroFilter' is defined)
		
    引言: 本人在使用spring集成shiro是总是报“no bean named 'shiroFilter' is defined”,网上的所有方式挨个试了一遍,又检查了一遍, 还是没有解决,最后,抱 ...
    
		
    3. 
						
  3. Activiti学习——Activiti与Spring集成
		
    转: Activiti学习——Activiti与Spring集成 与Spring集成 基础准备 目录结构 相关jar包 Activiti的相关jar包 Activiti依赖的相关jar包 Spring ...
    
		
    4. 
						
  4. Spring 源码学习笔记10——Spring AOP
		
    Spring 源码学习笔记10--Spring AOP 参考书籍<Spring技术内幕>Spring AOP的实现章节 书有点老,但是里面一些概念还是总结比较到位 源码基于Spring-a ...
    
		
    5. 
								
  5. shiro实战系列(十五)之Spring集成Shiro
		
    Shiro 的 JavaBean 兼容性使得它非常适合通过 Spring XML 或其他基于 Spring 的配置机制.Shiro 应用程序需要一个具 有单例 SecurityManager 实例的应 ...
    
		
    6. 
						
  6. spring 集成shiro 之 自定义过滤器
		
    在web.xml中加入 <!-- 过期时间配置 --> <session-config><session-timeout>3</session-timeout ...
    
		
    7. 
						
  7. Spring集成Shiro使用小结
		
    shiro的认证流程 Application Code:应用程序代码,由开发人员负责开发的 Subject:框架提供的接口,代表当前用户对象 SecurityManager:框架提供的接口,代表安全管 ...
    
		
    8. 
						
  8. Shiro学习(10)Session管理
		
    Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理.会话事件监听.会话存储/持久化.容器无关的集群. ...
    
		
    9. 
						
  9. Spring集成shiro+nginx  实现访问记录
		
    最近公司的网站需要添加用户访问记录功能,由于使用了nginx请求转发直接通过HttpServletRequest无法获取用户真实Ip 关于nginx获取真实IP的资料  https://blog.cs ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 关于nios 中printf 的问题
			
    在nios中,有printf的程序,在线调试没有什么问题,但是下到flash里面,程序跑了一段时间就死掉了!JTAG_UART是阻塞式输出,他只是将数据输出到buffer中,等待你上位机读取,当你的b ...
    
			
    2. 
						
  2. poj--1459--Power Network(最大流,超级源超级汇)
			
    Power Network Time Limit: 2000MS   Memory Limit: 32768KB   64bit IO Format: %I64d & %I64u Submit ...
    
			
    3. 
						
  3. C# 利用反射和特性 来做一些事情
			
    特性代码: [AttributeUsage(AttributeTargets.Class, AllowMultiple = false, Inherited = false)] public clas ...
    
			
    4. 
						
  4. 微信公众号开发(二)获取AccessToken、jsapi_ticket
			
    Access Token 在微信公众平台接口开发中,Access Token占据了一个很重要的地位,相当于进入各种接口的钥匙,拿到这个钥匙才有调用其他各种特殊接口的权限. access_token是公 ...
    
			
    5. 
						
  5. linux RAC 安装失败完全卸载
			
    1,删除软件安装目录 rm -rf /u01/app 2,删除以下目录内容 rm -rf /tmp/.oracle rm -rf   /tmp/* rm -rf   /tmp/ora* rm -rf  ...
    
			
    6. 
						
  6. installp 操作
			
    installp  软件安装和升级工具     1.查看某个已应用更可被提交或拒绝的文件集) installp -s   2. 应用更新TCP/IP软件( /usr/sys/inst.images ) ...
    
			
    7. 
						
  7. CodeChef  November Challenge 2013 部分题解
			
    http://www.codechef.com/NOV13 还在比...我先放一部分题解吧... Uncle Johny 排序一遍 struct node{ int val; int pos; }a[ ...
    
			
    8. 
						
  8. 紫书 例题 9-9 UVa 10003 (区间dp+递推顺序)
			
    区间dp,可以以一个区间为状态,f[i][j]是第i个切点到第j个切点的木棍的最小费用 那么对于当前这一个区间,枚举切点k, 可以得出f[i][j] = min{dp(i, k) + dp(k, j) ...
    
			
    9. 
						
  9. Json学习总结(1)——Java和JavaScript中使用Json方法大全
			
    摘要:JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式.它基于ECMAScript的一个子集. JSON采用完全独立于语言的文本格式,但是也使用了类似于C语 ...
    
			
    10. 
						
  10. AutoLayout具体解释+手把手实战
			
    首先说一下这篇博客尽管是标记为原创,可是事实并不是本人亲自写出来的.知识点和样例本人花了一天各处查找和整理终于决定写一个汇总的具体解释,解去各位朋友到处盲目查找的必要,由于不是转载某一个人的内容.故此 ...
    
			
    11.